Documentation

1 监控配置的同步
2 Proxy 负载均衡 及高可用性
1 手动结构
2 什么是 Zabbix
3 项 Zabbix 功能
4 Zabbix 概览
5 Zabbix 中的新特性 7.0.0
6 Zabbix 7.0.1 中的新特性
7 Zabbix 中的新特性 7.0.2
8 Zabbix 7.0.3 中的新特性
9 Zabbix 7.0.4 中的新特性
10 Zabbix 7.0.5 中的新特性
11 Zabbix 中的新特性 7.0.6
12 Zabbix 中的新增功能 7.0.7
13 Zabbix 7.0.8 中的新特性
14 Zabbix 7.0.9 中的新特性
15 Zabbix 中的新特性 7.0.10
16 Zabbix 7.0.11 中的新特性
17 Zabbix 中的新特性 7.0.12
18 Zabbix 中的新特性 7.0.13
19 Zabbix 7.0.14 中的新特性
20 Zabbix 中的新特性 7.0.15
21 Zabbix 7.0.16 中的新特性
21 Zabbix 中的新增功能 7.0.17
22 Zabbix 7.0.18 中的新特性
24 What's new in Zabbix 7.0.19
2 定义
1 高可用性
2 Agent
3 Agent 2
4 Proxy
1 从源代码安装
2 从 RHEL 软件包安装
3 从Debian/Ubuntu软件包安装
6 发送器
7 获取
8 JS
9 Web 服务
1 获取 Zabbix
2 要求
1 在Windows上构建Zabbix agent
2 在Windows上构建Zabbix agent 2
3 在macOS上构建Zabbix agent
4 Windows agent 通过 MSI 安装
5 从PKG安装Mac OS agent
6 个不稳定版本
5 从容器安装
6 Web界面安装
1 从源代码升级
1 红帽企业版 Linux
2 Debian/Ubuntu
从容器升级 3
1 编译 问题
2 转义相关升级问题
10 模板变更
11 升级说明适用于 7.0.0
12 升级说明 7.0.1
13 升级说明适用于 7.0.2
14 升级说明 7.0.3
15 升级说明适用于 7.0.4
16 升级说明 7.0.5
17 升级说明适用于 7.0.6
18 升级说明 7.0.7
19 升级说明适用于 7.0.8
20 升级说明适用于 7.0.9
21 升级说明 7.0.10
22 升级说明适用于 7.0.11
23 升级说明适用于 7.0.12
24 升级说明适用于 7.0.13
25 升级说明 7.0.14
26 升级说明 7.0.15
27 升级说明 7.0.16
28 升级说明适用于 7.0.17
29 升级说明适用于 7.0.18
1 登录与用户配置
2 新主机
3 新建 监控项
4 新触发器
5 接收问题通知
6 新模板
6 Zabbix设备
1 触发器事件生成
2 其他事件源
3 手动关闭问题
1 配置主机
2 配置主机组
3 资产清单
4 批量更新
1 监控项 键格式
2 自定义间隔
# 1 预处理测试
2 预处理详情
3 预处理示例
1 从JSONPath中的LLD宏值转义特殊字符
1 附加 JavaScript objects
2 浏览器 监控项 JavaScript objects
6 CSV 转 JSON 预处理
1 Zabbix agent 2
2 Windows Zabbix agent
1 动态索引
2 个特殊 OID
3 MIB文件
3 SNMP陷阱
4 项 IPMI 检查
1 VMware 监控 监控项 键值
6 日志文件监控
1 聚合计算
8 项内部检查
9 SSH检查
10 Telnet检查
11 外部检查
12 Trapper 监控项
13 JMX 监控
14 ODBC 监控
15 依赖 监控项
16 HTTP agent
17 个 Prometheus 检查
18 脚本监控项
19 浏览器 监控项
4 历史数据与趋势
1 扩展 Zabbix agents
6 Windows性能计数器
7 批量更新
9 队列
10 value cache
12 限制 agent 检查
值映射 8
立即执行 11
1 配置触发器
2 触发器表达式
3 触发器依赖
4 触发器严重性
5 自定义触发器严重性级别
6 批量更新
7 种预测性触发器函数
1 基于触发器的事件关联
2 全局事件关联
6 标记
1 简单图表
2 个自定义图表
3 个临时图表
4 图表中的聚合
1 配置网络拓扑图
2 个主机组元素
3 个链接指示器
3 仪表板
1 配置模板
2 配置模板组
3 链接/取消链接
4 嵌套
5 批量更新
1 Zabbix agent模板操作
2 Zabbix agent 2模板操作
3 HTTP模板操作
4 IPMI模板操作
5 JMX模板操作
6 ODBC模板操作
7 个标准化网络设备模板
8 VMware模板操作
1 电子邮件
2 条短信
3 自定义告警脚本
1 Webhook 脚本示例
1 条件
1 发送消息
2 远程命令
3 附加操作
4 在消息中使用宏
3 恢复操作
4 更新操作
5 Escalations
3 接收关于不受支持的 监控项 的通知
1 宏函数
2 用户宏
3 个带上下文的用户宏
4 密钥用户宏
6 表达式宏
低级别自动发现宏 5
1 配置用户
2 权限
3 个用户组
1 CyberArk配置
2 HashiCorp 配置
14 计划报告
2 将数据流传输到外部系统
3 SNMP网关
导出到文件 1
1 服务树
2 SLA
3 配置示例
1 Web 监控
2 实际场景
1 VMware 监控 监控项 键值
2 虚拟机发现键字段
3 VMware的JSON示例 监控项
4 VMware 监控配置示例
12 正则表达式
问题抑制 1
1 模板组
2 主机 组
4 主机
6 媒介类型
模板 3
网络拓扑图 5
1 配置网络发现规则
2 个活跃的 agent 自动注册
1 已挂载文件系统的发现
2 网络接口发现
3 CPU 与 CPU 核心的发现
4 SNMP OID 发现
5 SNMP OID的发现(传统)
7 IPMI传感器的发现
8 systemd服务的自动发现
9 Windows服务的发现
10 Windows性能计数器实例的发现
11 使用 WMI 进行发现 queries
14 块设备的发现
JMX 6 的自动发现 objects
Zabbix 中 15 接口的 主机 发现
使用ODBC SQL的12发现queries
使用Prometheus数据的13发现
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
7 自定义LLD规则
低级别自动发现的注意事项 5
1 使用证书
2 使用预共享密钥
1 连接类型或权限问题
2 个证书问题
3 个 PSK 问题
1 事件菜单
2 主机 菜单
3 监控项 菜单
1 操作日志
2 时钟
3 数据概览
4 发现状态
5 收藏图表
6 收藏地图
7 仪表盘
8 地图
10 图形(经典)
12 蜂窝结构
13 主机 可用性
14 主机 导航器
15 监控项 历史记录
16 监控项 导航器
17 监控项 值
18 地图
19 地图导航树
20 饼图
21 问题 主机
22 问题
23 按严重性划分的问题
24 SLA 报告
25 系统信息
26 Top 主机
27 Top 触发器
28 触发器概览
29 URL
30 网页监测
图原型 11
图表 9
1 问题原因与症状
1 图表
2 主机 仪表板
3 网页场景
3 最新数据
拓扑图 4
自动发现 5
1 服务
2 SLA
3 SLA 报表
1 概览
2 主机
1 系统信息
2 计划报告
3 可用性报告
4 Top 100 个触发器
5 审计日志
6 操作日志
7 通知
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
1 模板组
2 主机 组
1 监控项
2 触发器
3 图形
1 监控项原型
2 触发器原型
3 图表原型
4 主机原型
5 Web 场景
5 维护
6 事件关联
7 发现
1 动作
2 媒介类型
3 脚本
1 用户组
2 用户角色
3 用户
4 API 令牌
1 HTTP
2 LDAP
3 SAML
4 多因素认证 (MFA)
1 概述
2 审计日志
3 清理工作
6 宏
7 队列
监控项 4 Proxies
监控项 5 proxy 组
1 全局通知
2 浏览器声音
4 全局搜索
5 前端维护模式
6 页面参数
7 定义
8 创建自定义主题
9 调试模式
10 Zabbix 使用的 Cookies
11 时区
12 密码重置
13 时间段选择器
1 Securing MySQL/MariaDB
2 Securing PostgreSQL/TimescaleDB
3 Securing Oracle
2 Cryptography
3 Web服务器
2 配置最佳实践
apiinfo.version
LLD规则 object
discoveryrule.copy
discoveryrule.create
discoveryrule.delete
discoveryrule.get
discoveryrule.update
多因素认证 object
mfa.create
mfa.delete
mfa.get
mfa.update
Proxy object
proxy.create
proxy.delete
proxy.get
proxy.update
proxy 组 object
proxygroup.create
proxygroup.delete
proxygroup.get
proxygroup.update
Web场景 object
httptest.create
httptest.delete
httptest.get
httptest.update
主机对象
host.create
host.delete
host.get
host.massadd
host.massremove
host.massupdate
host.update
主机 原型 object
hostprototype.create
hostprototype.delete
hostprototype.get
hostprototype.update
主机 接口 object
hostinterface.create
hostinterface.delete
hostinterface.get
hostinterface.massadd
hostinterface.massremove
hostinterface.replacehostinterfaces
hostinterface.update
主机组 object
hostgroup.create
hostgroup.delete
hostgroup.get
hostgroup.massadd
hostgroup.massremove
hostgroup.massupdate
hostgroup.propagate
hostgroup.update
事件 object
event.acknowledge
event.get
令牌 object
token.create
token.delete
token.generate
token.get
token.update
仪表板 object
dashboard.create
dashboard.delete
dashboard.get
dashboard.update
1 操作日志
2 时钟
3 数据概览
4 发现状态
5 收藏图表
6 收藏地图
7 仪表盘
8 地图
10 图形(经典)
12 蜂窝结构
13 主机 可用性
14 主机 导航器
15 监控项 历史记录
16 监控项 导航器
17 监控项 值
18 地图
19 地图导航树
20 饼图
21 问题 主机
22 问题
23 按严重性划分的问题
24 SLA 报告
25 系统信息
26 Top 主机
27 Top 触发器
28 触发器概览
29 URL
30 网页监测
图原型 11
图表 9
任务对象
task.create
task.get
值映射 object
valuemap.create
valuemap.delete
valuemap.get
valuemap.update
相关性 object
correlation.create
correlation.delete
correlation.get
correlation.update
动作 object
action.create
action.delete
action.get
action.update
历史 object
history.clear
history.get
历史记录.推送
发现检查 object
dcheck.get
发现规则 object
drule.create
drule.delete
drule.get
drule.update
告警 object
alert.get
图像 object
image.create
image.delete
image.get
image.update
图标映射 object
iconmap.create
iconmap.delete
iconmap.get
iconmap.update
图表 object
graph.create
graph.delete
graph.get
graph.update
图原型 object
graphprototype.create
graphprototype.delete
graphprototype.get
graphprototype.update
图表 监控项 object
graphitem.get
映射 object
map.create
map.delete
map.get
map.update
媒介类型 object
mediatype.create
mediatype.delete
mediatype.get
mediatype.update
审计日志 object
auditlog.get
已发现 主机 object
dhost.get
发现的服务 object
dservice.get
报告 object
report.create
report.delete
report.get
report.update
Housekeeping object
housekeeping.get
housekeeping.update
服务 object
service.create
service.delete
service.get
service.update
SLA object
sla.create
sla.delete
sla.get
sla.getsli
sla.update
模块 object
module.delete
更新
模块创建
获取
模板 object
template.create
template.delete
template.get
template.massadd
template.massremove
template.massupdate
template.update
模板仪表板 object
templatedashboard.create
templatedashboard.delete
templatedashboard.get
templatedashboard.update
模板组 object
templategroup.create
templategroup.delete
templategroup.get
templategroup.massadd
templategroup.massremove
templategroup.propagate
templategroup.update
模板组批量更新
正则表达式 object
regexp.create
regexp.delete
regexp.get
regexp.update
用户 object
user.checkAuthentication
user.create
user.delete
user.get
user.login
user.logout
user.resettotp
user.unblock
user.update
用户配置
用户宏 object
usermacro.create
usermacro.createglobal
usermacro.delete
usermacro.deleteglobal
usermacro.get
usermacro.update
usermacro.updateglobal
用户目录 object
userdirectory.delete
userdirectory.get
userdirectory.test
用户目录创建
用户目录更新
用户组 object
usergroup.create
usergroup.delete
usergroup.get
usergroup.update
监控项 object
item.create
item.delete
item.get
item.update
监控项 原型 object
itemprototype.create
itemprototype.delete
itemprototype.get
itemprototype.update
维护 object
maintenance.create
maintenance.delete
maintenance.get
maintenance.update
脚本 object
script.create
script.delete
script.execute
script.get
script.getscriptsbyevents
script.getscriptsbyhosts
script.update
自动注册 object
autoregistration.get
autoregistration.update
角色 object
role.create
role.delete
role.get
role.update
触发器 object
trigger.create
trigger.delete
trigger.get
trigger.update
# triggerprototype.update
触发器原型 object
triggerprototype.create
triggerprototype.delete
triggerprototype.get
认证 object
authentication.get
authentication.update
设置 object
settings.get
settings.update
趋势 object
trend.get
连接器 object
connector.create
connector.update
连接器删除
连接器获取
configuration.export
configuration.import
configuration.importcompare
问题 object
problem.get
高可用性节点 object
hanode.get
附录 1. 参考注释
附录 2。从 6.4 到 7.0 的变更
附录 3。7中的变更。0
1 构建可加载插件
3 前端模块
可加载模块 1
1 数据库创建
2 修复Zabbix数据库字符集与排序规则
3 数据库升级至主键
4 为分区准备审计日志表
1 MySQL 加密配置
2 PostgreSQL 加密配置
6 TimescaleDB 安装配置
7 Elasticsearch配置
8 针对 Zabbix 设置 nginx 的发行版特定说明
9 以 root 身份运行 agent
10 Zabbix agent 在 Microsoft Windows 上
11 使用Microsoft Entra ID配置SAML
12 使用 Okta 的 SAML 设置
14 Oracle数据库配置
16 配置定时报告
17 其他前端语言
使用 OneLogin 配置 13 SAML
扩展范围的数值升级15
1 Zabbix server
2 Zabbix proxy
3 Zabbix agent (UNIX)
4 Zabbix agent 2 (UNIX)
5 Zabbix agent (Windows)
6 Zabbix agent 2 (Windows)
1 Ceph 插件
2 Docker 插件
3 Ember+ 插件
4 Memcached 插件
5 Modbus 插件
6 MongoDB 插件
7 MQTT 插件
8 MSSQL 插件
9 MySQL 插件
10 Oracle 插件
11 PostgreSQL 插件
12 Redis 插件
13 SMART 插件
8 Zabbix Java gateway
9 Zabbix Web 服务
10 包含
1 服务器-proxy 数据交换协议
2 Zabbix agent/agent2 协议
4 Zabbix agent 2 插件协议
5 Zabbix sender 协议
6 标题
7 换行符分隔的 JSON 导出协议
1 vm.memory.size 参数
2 被动与主动 agent 检查
3 Windows的最低权限级别 agent 监控项
4 返回值的编码
5 大文件支持
6 传感器
7 proc.mem 中 memtype 参数的说明 监控项
8 关于在 proc.mem 和 proc.num 中选择进程的说明 监控项
9 实现细节:net.tcp.service 和 net.udp.service 检查
10 proc.get 参数
11 不可达/不可用 主机 接口设置
12 远程监控 Zabbix 状态
13 在 Zabbix 中配置 Kerberos
14 modbus.get 参数
15 为 VMware 创建自定义性能计数器名称
16 system.sw.packages.get 的返回值
17 net.dns.get 的返回值
18 Windows系统下system.cpu.util监控项注意事项
1 循环处理函数
2 位运算函数
3 日期时间函数
4 历史数据函数
5 趋势函数
6 数学函数
7 操作员功能
8 个预测函数
9 string 函数
1 支持的宏
2 按位置支持的用户宏
7 单位符号
8 时间段语法
9 命令执行
10 版本兼容性
12 Windows版Zabbix sender动态链接库
13 Zabbix API的Python库
14 服务监控升级
15 其他问题
16 Agent与agent 2对比
17 转义示例
1 使用 Zabbix agent 监控 Linux
7 使用主动检查监控网络流量
8 使用浏览器监控项监控网站
9 使用Zabbix agent 2(被动)监控网站证书
10 使用Zabbix监控网络交换机或路由器
11 使用主动检查监控Windows事件日志
使用 Zabbix agent 2 监控 4
使用 Zabbix agent 监控 Windows 2
使用Zabbix监控VMware 5
使用Zabbix监控网络流量 6
通过HTTP监控Apache 3
维护
2 节点配置
3 添加用户
4 Zabbix Cloud 与本地部署的关键区别
使用 Zabbix Cloud 部署 Zabbix 1
manifest.json
动作
视图
资产
注册新模块
配置
展示
创建一个模块(教程)
创建一个 widget (tutorial)
示例
示例
创建插件(教程)
插件接口
扩展开发的变更
zabbix_agent2
zabbix_agentd
zabbix_get
zabbix_js
zabbix_proxy
zabbix_sender
zabbix_server
zabbix_web_service

1 使用证书

概述

Zabbix 可以使用 PEM 格式的 RSA 证书,该证书由公共或内部证书颁发机构 (CA) 签名。

证书验证是针对预配置的 CA 证书执行的。
可选地,可以使用证书吊销列表 (CRL)

每个 Zabbix 组件只能配置一个证书。

有关设置和运营内部 CA、生成和签署证书请求以及吊销证书的更多信息,请参考诸如 OpenSSL PKI Tutorial v2.0 之类的教程。

请仔细考虑并测试您的证书扩展。
更多详细信息,请参阅 X.509 v3 证书扩展使用的限制

证书配置参数

Zabbix 组件上支持以下配置参数用于设置证书。

参数 必填 描述
TLSCAFile yes 包含用于对等证书验证的 Top-级 CA 证书的 file 的完整路径名。
如果使用包含多个成员的证书链,请先按较低级别 CA 证书,然后是较高级别 CA 证书的顺序排列证书。
多个 CA 的证书可以包含在单个文件中。
TLSCRLFile no 包含证书吊销列表 (CRL) 的 file 的完整路径名。
TLSCertFile yes 包含证书的 file 的完整路径名。
如果使用包含多个成员的证书链,请先按服务器、proxy 或 agent 证书,然后是较低级别 CA 证书,最后是较高级别 CA 证书的顺序排列证书。
TLSKeyFile yes 包含私钥的 file 的完整路径名。
通过设置适当的访问权限,确保此 file 仅可被 2-创建用户账户 读取。
TLSServerCertIssuer no 允许的服务器证书颁发者。
TLSServerCertSubject no 允许的服务器证书主题。

配置示例

设置好必要的证书后,配置 Zabbix 组件以使用基于证书的加密。

以下是配置的详细步骤:

Zabbix服务器

1。准备CA证书文件。

为了验证对等证书,Zabbix server 必须能够访问包含 Top 级别、自签名根CA证书的 file。例如,如果需要来自两个独立根CA的证书,请将它们放置在 /home/zabbix/zabbix_ca_file.crt 的 file 中:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ...
       -----BEGIN CERTIFICATE-----
       MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ....
       9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
                   ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ....
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE
                   ....       
       -----BEGIN CERTIFICATE-----
       MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB
       ...
       vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY=
       -----END CERTIFICATE-----

2。将 Zabbix server 证书/证书链放入一个文件中,例如,放在 /home/zabbix/zabbix_server.crt。 第一个证书是 Zabbix server 证书,随后是中间CA证书:

Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 1 (0x1)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                       ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Digital Signature, Key Encipherment
                   X509v3 Basic Constraints: 
                       CA:FALSE
                   ...
       -----BEGIN CERTIFICATE-----
       MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk
       ...
       h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ==
       -----END CERTIFICATE-----
       Certificate:
           Data:
               Version: 3 (0x2)
               Serial Number: 2 (0x2)
           Signature Algorithm: sha1WithRSAEncryption
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               Subject Public Key Info:
                   Public Key Algorithm: rsaEncryption
                       Public-Key: (2048 bit)
                   ...
               X509v3 extensions:
                   X509v3 Key Usage: critical
                       Certificate Sign, CRL Sign
                   X509v3 Basic Constraints: critical
                       CA:TRUE, pathlen:0
               ...
       -----BEGIN CERTIFICATE-----
       MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB
       ...
       dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw==
       -----END CERTIFICATE-----

为避免影响证书验证过程,请仅使用上述提到的属性来配置客户端和服务器证书。 例如,如果使用了 X509v3 主题备用名称Netscape 证书类型 扩展,OpenSSL 可能无法建立加密连接。 有关更多信息,请参阅 X.509 v3证书扩展的使用限制

3。将 Zabbix server 私钥放入一个文件中,例如,放在 /home/zabbix/zabbix_server.key

-----BEGIN PRIVATE KEY-----
       MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl
       ...
       IJLkhbybBYEf47MLhffWa7XvZTY=
       -----END PRIVATE KEY-----

4。在 Zabbix server configuration file 中编辑TLS配置参数:

TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_server.crt
       TLSKeyFile=/home/zabbix/zabbix_server.key
Zabbix proxy

1。按照Zabbix server章节所述,准备包含Top级CA证书、Zabbix proxy证书/证书链以及私钥的文件。 随后,在Zabbix proxy configuration file中相应编辑TLSCAFileTLSCertFileTLSKeyFile参数。

2。在Zabbix proxy configuration file中编辑其他TLS参数:

  • 主动式proxy:TLSConnect=cert
  • 被动式proxy:TLSAccept=cert

为增强proxy安全性,还可设置TLSServerCertIssuerTLSServerCertSubject参数。 更多信息请参阅限制允许的证书颁发者与主题

最终proxy配置file中的TLS参数示例如下:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_proxy.crt
       TLSKeyFile=/home/zabbix/zabbix_proxy.key

3。在Zabbix前端为此proxy配置加密:

  • 导航至:管理 → Proxies
  • 选择proxy并点击加密标签页。

下例中已填写颁发者主题字段。 关于为何及如何使用这些字段的详细信息,请参阅限制允许的证书颁发者与主题

主动式proxy配置:

被动式proxy配置:

Zabbix agent

1。按照Zabbix server章节所述,准备包含Top级CA证书、Zabbix agent证书/证书链及私钥的文件。 随后,在Zabbix agent configuration file中相应编辑TLSCAFileTLSCertFileTLSKeyFile参数。

2。在Zabbix agent configuration file中编辑其他TLS参数:

  • 主动式agent:TLSConnect=cert
  • 被动式agent:TLSAccept=cert

为增强agent安全性,可设置TLSServerCertIssuerTLSServerCertSubject参数。 更多信息请参阅限制允许的证书颁发者与主题

最终agent配置file中的TLS参数示例如下。 注意此示例假设主机由proxy监控,因此将其指定为证书主题:

TLSConnect=cert
       TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSCertFile=/home/zabbix/zabbix_agentd.crt
       TLSKeyFile=/home/zabbix/zabbix_agentd.key

3。为由此agent监控的主机配置Zabbix前端加密。

  • 前往:数据采集 → 主机
  • 选择主机并点击加密标签页

下例中已填写颁发者主题字段。 关于为何及如何使用这些字段的详细信息,请参阅限制允许的证书颁发者与主题

Zabbix web服务

1。按照Zabbix server章节所述,准备包含Top级CA证书、Zabbix网页服务证书/证书链及私钥的文件。 随后,在Zabbix web service configuration file中相应修改TLSCAFileTLSCertFileTLSKeyFile参数。

2。在Zabbix web service configuration file中编辑额外的TLS参数:TLSAccept=cert

最终网页服务配置file中的TLS参数示例如下:

TLSAccept=cert
       TLSCAFile=/home/zabbix/zabbix_ca_file
       TLSCertFile=/home/zabbix/zabbix_web_service.crt
       TLSKeyFile=/home/zabbix/zabbix_web_service.key

3。通过修改Zabbix server configuration file中的WebServiceURL参数,配置Zabbix server以连接启用TLS的Zabbix网页服务:

WebServiceURL=https://example.com

限制允许的证书颁发者和主题

当两个Zabbix组件(例如server 和 agent)建立TLS连接时,它们会相互验证对方的证书。如果对等方证书由受信任的CA(在TLSCAFile中预配置了Top级证书)签名、有效且未过期,并通过其他检查,则组件之间的通信可以继续进行。在这种最简单的情况下,不会验证证书颁发者和主题。

然而,这会带来风险:任何持有有效证书的人都可以冒充他人(例如,一个主机证书可能被用于冒充服务器)。虽然在证书由专用内部CA签名且冒充风险较低的小型环境中可能可以接受,但在规模较大或对安全性要求更高的环境中可能不够充分。

如果您的Top级CA 问题包含不应被Zabbix接受的证书,或者您想降低冒充风险,可以通过指定允许证书的颁发者和主题来限制可接受的证书。

例如,在Zabbix proxy配置file中,您可以指定:

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

通过这些设置,主动式proxy将不会与证书颁发者或主题不同的Zabbix server通信。同样,被动式proxy也不会接受来自此类服务器的请求。

Rules for matching Issuer and Subject strings

IssuerSubject字符串的匹配规则如下:

  • IssuerSubject字符串独立检查,两者均为可选项。
  • 未指定的string表示接受任何string。
  • 字符串按原样比较且必须完全匹配。
  • 支持UTF-8字符,但不支持通配符(*)或正则表达式。
  • 实现了以下RFC 4514要求——需要转义的字符(使用反斜杠'\',U+005C):
    • string中任意位置:'"'(U+0022)、'+'(U+002B)、','(U+002C)、';'(U+003B)、'<'(U+003C)、'>'(U+003E)、'\\'(U+005C);
    • string开头处:空格(' ',U+0020)或井号('#',U+0023);
    • string结尾处:空格(' ',U+0020)。
  • 不支持空字符(U+0000)。若遇到空字符,匹配将失败。
  • 不支持RFC 4517RFC 4518标准。

例如,若IssuerSubject组织(O)字符串包含尾部空格,且Subject组织单元(OU)的string包含双引号,则这些字符必须进行转义:

TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com
       TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com
字段顺序与格式

Zabbix遵循RFC 4514的建议,该规范规定了这些字段采用"反向"顺序排列:从最低层级字段(CN)开始,经过中间层级字段(OUO),最后到最高层级字段(DC)。

TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

与之相反,OpenSSL默认以Top层级到低层级的顺序显示IssuerSubject字符串。 在以下示例中,IssuerSubject字段从Top层级(DC)开始,以最低层级(CN)结束。 空格和字段分隔符的格式也会根据使用的选项而变化,因此不会匹配Zabbix要求的格式。

$ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject
       issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA
       subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy
       
       $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt
       Certificate:
           ...
               Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA
               ...
               Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy

要为Zabbix正确格式化IssuerSubject字符串,请使用以下选项调用OpenSSL:

$ openssl x509 -noout -issuer -subject \
           -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\
           -in /home/zabbix/zabbix_proxy.crt

这样输出的内容将呈反向顺序、以逗号分隔,可用于Zabbix配置文件和前端界面:

issuer= CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com
       subject= CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com

使用X.509 v3证书扩展的限制

在 Zabbix 中实施 X.509 v3 证书时,某些扩展可能未被完全支持,或可能导致不一致的行为。

主题备用名称扩展

Zabbix 不支持 Subject Alternative Name 扩展,该扩展用于指定替代的 DNS 名称,例如 IP 地址或电子邮件地址。 Zabbix 只能验证证书的 Subject 字段中的值(参见 限制允许的证书颁发者和主题)。 如果证书包含 subjectAltName 字段,则证书验证的结果可能会因用于编译 Zabbix 组件的具体加密工具包而有所不同。 结果是,Zabbix 可能根据这些组合选择接受或拒绝证书。

扩展密钥用法扩展

Zabbix 支持 扩展密钥用法(Extended Key Usage) 扩展功能。 但是,如果使用的话,通常需要同时指定 clientAuth(用于 TLS WWW 客户端认证)和 serverAuth(用于 TLS WWW 服务器认证)属性。 例如:

  • 在被动检查中,当 Zabbix agent 作为 TLS 服务器运行时,serverAuth 属性必须包含在 agent 的证书中。
  • 对于主动检查,其中 agent 作为 TLS 客户端运行,clientAuth 属性必须包含在 agent 的证书中。

虽然 GnuTLS 可能会因密钥使用冲突而问题发出警告,但它通常允许通信继续进行,即使存在这些警告。

名称约束扩展

不同加密工具包对名称约束(Name Constraints)扩展的支持各不相同。 请确保您选择的工具包支持此扩展。 此扩展可能会限制Zabbix加载CA证书,如果此部分被标记为关键部分,则取决于所使用的特定工具包。

证书撤销列表(CRL)

如果证书遭到泄露,证书颁发机构(CA)可以通过在证书吊销列表(CRL)中包含该证书来吊销它。
CRL 通过配置文件进行管理,并且可以在服务器、proxy 和 agent 的配置文件中使用 TLSCRLFile 参数进行指定。
例如:

TLSCRLFile=/home/zabbix/zabbix_crl_file.crt

在这种情况下,zabbix_crl_file.crt 可以包含来自多个 CA 的 CRL,可能如下所示:

-----BEGIN X509 CRL-----
       MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv
       ...
       treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg=
       -----END X509 CRL-----
       -----BEGIN X509 CRL-----
       MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t
       ...
       CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs=
       -----END X509 CRL-----

CRL file 仅在 Zabbix 启动时加载。
update CRL,请重启 Zabbix。

如果 Zabbix 组件是使用 OpenSSL 编译的并且使用了 CRL,请确保证书链中的每个 Top 级别和中间 CA 都在 TLSCRLFile 中包含相应的 CRL(即使它是空的)。

© 2001-2025 by Zabbix SIA. All rights reserved.
Except where otherwise noted, Zabbix Documentation is licensed under the following license
Trademark Policy